Dopo aver parlato del GDPR, della sua applicazione per i siti web, oggi, 25 maggio, quando il Regolamento europeo 679/2016 diventerà esecutivo, affrontiamo il delicato problema dell’applicabilità del GDPR alle e-mail.
Le email rientrano nell’ambito di applicazione del GDPR?
La risposta non può che essere affermativa.
Il GDPR, infatti, non si applica ad uno strumento, sia esso la mail, il sito, la newsletter, bensì al dato personale.
Qualsiasi trattamento di dati personali, quindi, indipendentemente dallo strumento che si utilizza, è soggetto al Regolamento europeo.
L’indirizzo email è un dato personale a tutti gli effetti.
Questo significa che, anche per quanto riguarda l’invio di mail, andranno rispettati i principi generali del GDPR e nella pratica andranno adottate alcune misure (e possiamo anche dire alcune strategie) che possano renderci compliance alla normativa.
Cosa devo fare con le email che mi vengono inviate?
Qualora si riceva una mail l’indirizzo andrà utilizzato per rispondere alla richiesta che viene avanzata dall’utente.
Dovrò richiedere un consenso particolare? No, la richiesta proviene espressamente dal soggetto che ci scrive ed è evidente che per evadere la richiesta dovremo utilizzare il dato personale che ci viene comunicato, ossia dovremo rispondere alla mail.
Il problema, semmai, riguarda le informazioni da fornire all’interessato (ossia al titolare della mail).
La risposta alla mail implica un trattamento di dati e, come tale, impone al titolare di fornire all’interessato le indicazioni dell’art. 13 e seguenti del GDPR.
Come è possibile fornire queste informazioni all’utente?
Nell’articolato del Regolamento non esiste alcuna norma che indichi le modalità concrete e pratiche con cui fornire le informazioni.
Questo significa che è possibile utilizzare qualsiasi mezzo.
In concreto l’informativa potrà essere inserita in calce al corpo della mail, oppure potrà essere inviata come allegato alla mail stessa.
Posso utilizzare gli indirizzi e-mail di terze persone?
L’utilizzo degli indirizzi mail dipende da 2 diversi elementi, ossia dalle modalità con le quali sono state reperite e dalle finalità per le quali vengono utilizzate.
- Modalità con le quali sono state reperite
Se la mail è pubblica perché può essere reperita in elenchi o in Rete l’utilizzo potrà essere effettuato senza problemi perché si tratta di un dato che il soggetto ha per così dire deciso di rendere pubblico.
Se, al contrario l’indirizzo è stato comunicato dall’interessato, ma per specifiche finalità, lo stesso potrà essere utilizzato unicamente per queste e non anche per altre senza un consenso esplicito al trattamento per le nuove finalità.
- Finalità per le quali vengono raccolte
Quando si tratta un dato personale è necessario specificare la finalità del trattamento.
Questo significa, come appena rilevato, che se per la finalità per la quale il dato viene trattato è stato rilasciato il consenso potrà essere utilizzato solo per quella e non già per altre finalità diverse, salvo ricorrano altri presupposti legittimanti il trattamento come il legittimo interesse o l’obbligo di legge.
L’utente può chiedere la cancellazione del suo indirizzo e-mail?
Tra i diritti dell’interessato è previsto anche il diritto di chiedere la cancellazione dei propri dati e quindi l’utente potrebbe esercitare questo diritto anche con riferimento alla mail.
Il titolare, sempre secondo il dettato normativo, dovrà provvedere alla cancellazione “prontamente” ossia in un breve periodo di tempo.
Ecco quindi che sarà necessario attivarsi per eliminare l’indirizzo mail dalla rubrica, dovranno essere cancellati i messaggi di posta elettronica (in quanto contenenti quel dato) e questo non solo per quanto riguarda il digitale, ma anche per quanto concerne i dati detenuti in formato cartaceo.
È bene quindi avere sempre ben chiaro dove sono allocati e conservati i dati, ed ecco l’importanza che riveste il registro dei trattamenti, anche se, per limiti dimensionali, la sua tenuta non dovesse essere obbligatoria.
Ma questa è tutta un’altra storia.
Vuoi creare anche tu la tua policy privacy in pochi click? Affidati a iubenda